#32460 – firefox-48.0.1-alt1 не открывает google.com с ошибкой NS_ERROR_NET_INADEQUATE_SECURITY

Bug 32460 - firefox-48.0.1-alt1 не открывает google.com с ошибкой NS_ERROR_NET_INADEQUATE_SECURITY

Summary: firefox-48.0.1-alt1 не открывает google.com с ошибкой NS_ERROR_NET_INADEQUATE...

Status:	CLOSED FIXED

Alias:	None

Product:	Branch p8
Classification:	Distributions
Component:	firefox (show other bugs)
Version:	не указана
Hardware:	all Linux

Importance:	P3 normal
Assignee:	Alexey Gladkov
QA Contact:	qa-p8@altlinux.org

URL:
Keywords:

Depends on:
Blocks:

Reported:	2016-08-31 22:42 MSK by Vitaly Lipatov
Modified:	2018-03-03 21:59 MSK (History)
CC List:	2 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Vitaly Lipatov 2016-08-31 22:42:27 MSK

После обновления до firefox-48.0.1-alt1 

сайты
https://www.google.ru/
https://facebook.com/
и некоторые другие

не открываются с сообщением
Веб-сайт попытался установить недостаточно защищённое соединение.

www.google.fr использует защитную технологию, которая является устаревшей и уязвимой для атаки. Злоумышленник может легко выявить информацию, которая, как вы думали, находится в безопасности. Для того, чтобы вы смогли посетить веб-сайт, администратор веб-сайта должен сначала исправить его сервер.

Код ошибки: NS_ERROR_NET_INADEQUATE_SECURITY

Подобное обсуждение:
https://bbs.archlinux.org/viewtopic.php?id=216509

Comment 1 Konstantin Kondratyuk 2016-08-31 22:44:53 MSK

> Подобное обсуждение:
> https://bbs.archlinux.org/viewtopic.php?id=216509

Оно, кстати, тоже не открывается в новом firefox.

Comment 2 Vitaly Lipatov 2016-08-31 23:20:19 MSK

Бага в Debian:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=833719

Уточнение здесь:
https://bugzilla.mozilla.org/show_bug.cgi?id=1122642


Short version: Browsers which use HTTP/2 had a brief moment of unhappiness when an unexpected side-effect of a security update caused Confusion and Delay.

Tech-weenie details: I adjusted the TLS cipher suite selection to mitigate the sweet32 attack, and managed to change the priority of cipher selection such that some ciphers blacklisted in HTTP/2 were chosen above other, HTTP/2-friendly ciphers. At first, this only impacted recent Firefox versions, but because no two implementations can ever agree on what a standard actually means, my first attempt at fixing the problem caused problems for IE and Safari instead.

All is well now, and unless some cryptographer comes up with another way to break TLS in the next little while, things should stay well.
https://bbs.boingboing.net/t/desktop-and-mobile-firefox-throwing-a-certificate-error-on-the-bbs/84322/12

Comment 3 Alexey Gladkov 2016-08-31 23:32:51 MSK

Эм ... я сижу на 48.0.1-alt1. Ничего подобного не вижу (я не выложил бы firefox с такой багой). У меня открывается google.fr, google.ru, google.cz, facebook.com, youtube.com, bbs.archlinux.org.

$ rpmquery -a |grep -e firefox-4 -e libnss-3
libnss-3.26.0-alt1
firefox-48.0.1-alt1

Comment 4 Alexey Gladkov 2016-08-31 23:34:56 MSK

Ок. Попробую приложить https://bug1122642.bmoattachments.org/attachment.cgi?id=8741098

Comment 5 Konstantin Kondratyuk 2016-09-01 10:05:18 MSK

С утренним dist-upgrade пришло обновление libnss для p8. Проблемы больше нет.

Comment 6 Vitaly Lipatov 2016-09-01 12:27:17 MSK

Это была временная проблема на p8 из-за отставшего libnss, нужно обновление до nss-3.26.0-alt1
https://lists.altlinux.org/pipermail/community/2016-August/685989.html

Comment 7 Vitaly Lipatov 2018-03-03 21:59:48 MSK

После обновления до firefox-58.0.2-alt0.M80P.1 опять та же проблема.
Выяснилось, что в системе libnss-3.30.0-alt0.M80P.1, а последний — libnss-3.34.1-alt0.M80P.1. После обновление libnss проблема ушла.

Вывод: У firefox слишком тесная связь с libnss, чтобы не иметь зависимости на версию не ниже обязательной.